Veelgestelde vragen

De classificatie volgt de kernfunctionaliteit van het product, niet elke functie die het toevallig bevat. Als de kernfunctie overeenkomt met een in bijlage III genoemde categorie, is het product 'belangrijk' (klasse I of II); komt deze overeen met bijlage IV, dan is het 'kritiek'; anders is het 'standaard'. Een functionaliteit zoals identiteitsbeheer of een VPN die slechts als kenmerk is opgenomen, maakt het product niet 'belangrijk', tenzij dat het kerndoel ervan is. Wanneer meerdere categorieën van toepassing kunnen zijn, geldt de strengere klasse. Art. 7

Niet-commerciële opensourcesoftware die buiten een commerciële activiteit wordt ontwikkeld, valt grotendeels buiten het toepassingsgebied. Beheerders van opensourcesoftware hebben een lichter, op maat gesneden geheel van verplichtingen. Opensourcecomponenten die in het kader van een commerciële activiteit worden geleverd, kunnen binnen het toepassingsgebied vallen.

Op zichzelf staande diensten vallen doorgaans buiten de CRA. Oplossingen voor gegevensverwerking op afstand die noodzakelijk zijn voor de werking van een product, worden echter als onderdeel van dat product beschouwd en vallen binnen het toepassingsgebied. Art. 3(2)

Ja. De CRA is van toepassing op producten die in de handel worden gebracht op de EU-markt, ongeacht waar de fabrikant is gevestigd. Fabrikanten buiten de EU moeten ervoor zorgen dat een in de Unie gevestigde marktdeelnemer verantwoordelijk is voor de relevante verplichtingen.

Zij vallen onder twee delen van bijlage I: beveiligingseigenschappen die het product moet bezitten (standaard veilig, vertrouwelijkheid, integriteit, beschikbaarheid, geminimaliseerd aanvalsoppervlak, beveiligingsupdates) en processen voor kwetsbaarhedenbehandeling die de fabrikant moet uitvoeren (SBOM, herstel, gecoördineerde openbaarmaking). Bijlage I

Ja. Fabrikanten moeten de in het product opgenomen onderdelen identificeren en documenteren, onder meer door het opstellen van een softwarestuklijst (SBOM) in een gangbaar, machineleesbaar formaat. Bijlage I · II(1)

De ondersteuningsperiode is de periode waarin een fabrikant beveiligingsupdates moet leveren. Deze moet de periode weerspiegelen waarin het product naar redelijke verwachting in gebruik zal zijn; de richtsnoeren van de Commissie geven aan dat deze in de regel ten minste vijf jaar moet bedragen, tenzij het verwachte gebruik korter is. Art. 13(8)

Actief misbruikte kwetsbaarheden en ernstige incidenten die de beveiliging van het product aantasten, moeten worden gemeld aan ENISA en het relevante CSIRT. Een vroegtijdige waarschuwing is verschuldigd binnen 24 uur nadat men ervan op de hoogte is geraakt, gevolgd door een uitgebreidere melding en een eindrapport. Art. 14

De verordening is op 10 december 2024 in werking getreden. De rapportageverplichtingen gelden vanaf september 2026 (21 maanden later) en het merendeel van de verplichtingen geldt vanaf december 2027 (36 maanden later). Art. 71

Inbreuken op de essentiële eisen of de verplichtingen van de fabrikant kunnen boetes tot € 15 miljoen of 2,5% van de totale wereldwijde jaaromzet opleveren, indien dit hoger is. Voor andere inbreuken en voor het verstrekken van onjuiste informatie gelden lagere maxima.

De rapportageverplichtingen van artikel 14 worden op 11 september 2026 afdwingbaar. ENISA zet het centrale rapportageplatform op uit hoofde van artikel 16, waarlangs fabrikanten actief misbruikte kwetsbaarheden en ernstige incidenten zullen melden aan ENISA en het nationale CSIRT; het moet tegen die datum operationeel zijn. Art. 14

Het normalisatieverzoek M/606 van de Commissie werd in 2025 aanvaard door CEN, CENELEC en ETSI en omvat ongeveer 41 normen (horizontaal en productspecifiek). De twee centrale horizontale normen (veilige ontwikkeling en kwetsbaarhedenbehandeling) worden tegen 30 augustus 2026 verwacht, de verticale productnormen tegen 30 oktober 2026 en de overige horizontale normen tegen 30 oktober 2027, vooruitlopend op de volledige toepassing in december 2027. Het volgen van een aangehaalde geharmoniseerde norm levert een vermoeden van conformiteit op. Bijlage I

Doorloop de conformiteitsbeoordelingsroute voor uw productklasse, stel de technische documentatie samen, stel de EU-conformiteitsverklaring op en onderteken deze, en breng vervolgens de CE-markering aan. Standaardproducten mogen een zelfbeoordeling uitvoeren; belangrijke en kritieke producten vereisen strengere routes. Art. 28 · 32

Begin met de CRA Fast Check om het toepassingsgebied en de klasse te bevestigen, volg de gids die voor uw rol is geschreven, en gebruik de compliancematrix om de essentiële eisen tot voltooiing te volgen.